DSGVO – Vorgabepflicht Löschkonzept durch Auftragsverarbeiter
Löschkonzept des Auftragsverarbeiters
Immer wieder kommt es vor, dass Auftragsverarbeiter von ihren Auftraggebern um Vorlage ihres Löschkonzeptes gebeten werden. Doch was ist damit gemeint und wozu ist der Auftragsverarbeiter eigentlich verpflichtet? Damit beschäftigen wir uns im folgenden Artikel.
Lesen Sie hier:
Adressaten der Pflicht zu Löschung
Oft ist nicht nur eine Partei an einer Verarbeitung beteiligt, es sind mehrere Parteien an einer Verarbeitung beteiligt. Sobald Daten von einer Partei an einen anderen Empfänger weitergeleitet werden, ist eine Löschung an mehreren Stellen einfach erforderlich.
Der Verantwortliche
Die Norm der Datenschutzgrundverordnung DSGVO, die sich rund um das Löschen dreht, ist Art. 17 DSGVO. Demnach ist die Rede von „Verantwortlichen“. Dieser ist als Adressat der Norm verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn es für die weitere Speicherung der personenbezogenen Daten keine Rechtsgrundlage mehr gibt. Die betroffene Person kann vom Verantwortlichen auch ergänzend entsprechend Löschung ihrer Daten verlangen. Obwohl an einer Verarbeitung verschiedene Stellen beteiligt sein können, richtet sich die Datenschutzverordnung DSGVO mit der Pflicht zur Löschung ganz konkret an den Verantwortlichen. Dass das Löschen von Daten ein großes Thema ist, zeigen auch die in der Vergangenheit ergangenen Bußgelder. Auch Schadensersatzansprüche der Betroffenen sind denkbar.
Der Auftragsverarbeiter
Während sich Art. 17 DSGVO ausschließlich an den Verantwortlichen richtet, finden wir in Art 28 Abs. 3 S. 2 lit.g) DSGVO auch eine Pflicht des Auftragsverarbeiters. Demnach muss der Auftragsverarbeiter personenbezogene Daten grundsätzlich nach Abschluss der Erbringung der Verarbeitungsleistung nach Wahl des Verantwortlichen löschen oder die Daten zurückgeben.
Konkret sieht die Norm vor, dass der Auftragsverarbeiter
• Nach Abschluss der Erbringung der Verarbeitungsleitung
• alle personenbezogenen Daten
• nach Wahl des Verantwortlichen entweder löscht oder zurückgibt
• und vorhandene Kopien lösch,
• sofern nicht nach dem EU-Recht oder dem nationalen Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
Eigenes Löschkonzept nötig für den Auftragsverabeiter?
Wir haben also gesehen, dass sich die Löschpflicht der Datenschutzverordnung grundsätzlich an den Verantwortlichen richtet, der Auftragsverarbeiter aber über den Auftragsverarbeitungsvertrag bzw. Art 28 Abs. 3 S. 2 lit. g DSGVO ebenfalls zur Löschung in bestimmten Fällen verpflichtet ist.
Der Auftragsverarbeiter als Verantwortlicher
Trennen muss man ganz klar die personenbezogenen Daten, die auch ein Auftragsverarbeiter in eigener Verantwortlichkeit verarbeitet. Hierzu gehören beispielsweise die Daten seiner Beschäftigten oder auch Kundendaten. Hier agiert der Auftragsverarbeiter eben nicht als solcher, sondern verarbeitet Daten als Verantwortlicher. Ihn treffen damit alle Pflichten eines Verantwortlichen und damit auch die Löschpflichten aus Art. 17. In diesem Fall benötigt er ein umfassendes Löschkonzept, das alle technischen und organisatorischen Maßnahmen TOM beschreibt, die der Umsetzung der Pflichten im Zusammenhang mit der Löschung beim Verantwortlichen erforderlich sind. Darum soll es hier aber nicht gehen. Dieses wird er seinem Auftraggeber auch regelmäßig nicht vorlegen, da es sich in keinerlei Hinsicht auf die im Auftrag verarbeiteten Daten bezieht.
Das Löschkonzept des Auftragsverarbeiters
Das Löschkonzept, das sich auf die personenbezogenen Daten bezieht, die er im Auftrag verarbeitet, muss sich auf die technischen und organisatorischen Maßnahmen beschränken, die zur Erfüllung seiner Pflicht aus Art. 28 Abs. 3 S. 2 litg. g) DSGVO, also der Pflicht zur Löschung und/oder Rückgabe nach Abschluss der Erbringung der Vertragsleistung oder auf Weisung des Verantwortlichen erforderlich sind.
Damit bleibt es bei der Pflicht des Verantwortlichen, jedenfalls die Speicherdauer der Daten festzulegen und damit den Zeitpunkt der Löschung zu bestimmen. Durch die Auslegung der Verarbeitung an einen Auftragsverarbeiter wird der Verantwortliche nicht von seiner Löschungspflicht der Daten befreit. Folgende Punkte sollten daher im Vorfeld zwischen Verantwortlichem und Auftragsverarbeiter geklärt sein:
• Wann und wie werden die im Auftrag verarbeiteten Daten gelöscht?
• Wie erfolgt der Nachweis der Löschung durch den Auftragsverarbeiter?
Nur so kann der Verantwortliche seinen Pflichten zur Löschung aus Art. 17 und seiner Rechenschaftspflicht aus Art. 5 Abs. 2 genügen.
Was bedeutet der Inhalt Löschkonzept für den Auftragsverarbeiter?
Hinsichtlich der technischen und organisatorischen Maßnahmen bei der Umsetzung des Löschkonzeptes kann der Verantwortliche dem Auftragsverarbeiter einen Entscheidungsspielraum überlassen.
Im Gegensatz zum Löschkonzept des Verantwortlichen enthält das Löschkonzept jedoch keine Angaben zur Speicherdauer. Als Löschkonzept bleiben nur der Abschluss der Erbringung der Verarbeitungsleistung sowie die Anweisung des Verantwortlichen zur Lösung. Werden vom Verantwortlichen auch die Mittel der Löschung festgelegt, fällt das Löschkonzept entsprechend knapp aus.
Fazit
Enthalten sollte das Löschkonzept jedenfalls folgende Punkte:
• Startzeitpunkte (Abschluss Vertragsleistung / Weisung des Verantwortlichen)
• (Technische) Umsetzung der Löschung
• Dokumentation der Löschung
• Angaben zu Kontrollen
• Informationen zur regelmäßigen Überprüfung der Wirksamkeit + ggf. Aktualisierung.
Man kann also festhalten, dass auch Auftragsverarbeiter ein wirklich gutes und sehr effizientes Löschkonzept benötigen. Über das Kontrollrecht des Verantwortlichen und die Nachweispflicht des Auftragsverarbeiters hat der Verantwortliche grundsätzlich wohl auch das Recht, dieses einzusehen, um sich von der ordnungsgemäßen Lösung überzeugen zu können.
Hier ein Rückblick zum vorherigen Beitrag mit den ersten Informationen zum Thema:
Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang
Datenminimierung und Datensparsamkeit
https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-1-datenminimierung-und-datensparsamkeit/
DSGVO: TEIL 2 Datenminimierung durch Anonymisierung und Pseudonymisierung
Hinterlasse einen Kommentar